Báo cáo Lab Quản trị mạng: Nghiên cứu và báo cáo PfSense

[Type the document title]

Bài Báo Cáo

Ụ Ụ M C L C

ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 1

ứ

Nghiên C u Và Báo Cáo PfSense

ộ ớ ế N i Dung Lý Thuy t i thi u PfSense Gi

ị ử ứ ụ ườ

ễ ệ ế ủ

ậ ớ ắ ầ

ệ ệ ộ ứ ẽ ẳ ầ ậ ậ

ạ ế ệ ể ả ỡ ừ t

t c  kích c , t ộ ộ

ả ơ ữ ồ ằ Ứ ượ ổ ơ  các m ng gia đình ể ấ ệ

c b  sung trong m i phát hành nh m c i thi n h n n a ả năng linh ho t c a nó.

ị ỉ ử ộ ườ ỗ ợ ọ ở ị

ị ọ ị ồ ử ụ ỗ ạ ủ ị ng l a, pfSense h  tr  l c b i đ a ch  ngu n và đ a ch ụ ế

ỉ ạ ế ậ

ầ ắ ủ ườ ọ ị

ng l a s  ki m tra đ a ch  IP mà l u l

ị ử

ộ

ẽ ề ộ

ườ ử ủ ng l a khóa các k t n i d a trên h

ể ộ ị

ỉ ộ ng l a thì m t hành ử ố ườ ng l a t ượ ị c d ch là: kh ệ ế ố ự ế ỉ ầ ế ị ạ ặ

ỏ

ệ ấ ể ộ ố ạ ế ớ ứ ụ ẫ

ử ụ

ứ

ượ ự ủ ả

ể ộ

ổ ự ệ ỗ ợ ệ

ế ớ ch  ch  có th  th c hi n cân b ng l u l

ộ ạ ế ố ữ ố ể ự ằ ệ ượ ư ượ c l u l ể ự ị ể ỉ đ nh đ

I. A. ạ ng l a m nh và mi n phí,  PfSense là m t  ng d ng có ch c năng đ nh tuy n vào t ụ ề ự ị ỏ ạ ở ộ ạ ứ ng d ng này s  cho phép b n m  r ng m ng c a mình mà không b  th a hi p v  s   ậ ộ ữ ả  m0n0wall m i b t đ u ch p ch ng– đây là m t  b o m t. B t đ u vào năm 2004, khi ệ ố ả ự d  án b o m t t p trung vào các h  th ng nhúng – pfSense đã có h n 1 tri u download ạ ượ ử ụ ở ấ ả c s  d ng đ  b o v  các m ng   đ n các  và đ ớ ủ ủ ự   ụ ạ m ng l n c a c a các công ty.  ng d ng này có m t c ng đ ng phát tri n r t tích c c ề và nhi u tính năng đang đ ậ ự ổ ả tính b o m t, s   n đ nh và kh ỉ đích, c ng ổ ớ ư  cách m t t V i t ỉ ỉ ặ ổ ồ ngu n ho c c ng đích hay đ a ch  IP. Cho ví d , n u chúng ta s  d ng l c đ a ch   ể ủ ị ấ ứ ượ ồ t l p đ a ch  IP đ c ki m tra là subnet c a m ng bên trong thì b t c   ngu n và thi ẽ ị ỉ đó s  b  phân tích và đ ượ ạ ừ đ a ch ị ượ ọ   ấ ứ ư ượ c t o ra t ng hay b t c  yêu c u nào đ l u l c l c ử ụ ử ế ỉ đích thì  ộ ụ ng l a. N u chúng ta s  d ng l c đ a ch ph  thu c vào các nguyên t c c a t ỉ đích th a mãn các  ế ị ư ượ ẽ ỏ ử ẽ ể ườ ng s  đi, và n u đ a ch t ự ợ ẽ ượ ộ ắ ủ ườ  đ ng thích h p s  đ c th c thi. nguyên t c c a t ả năng P0F (passive operating  ấ ữ t nh t là kh M t trong nh ng tính năng t ệ đi u hành  ấ ề ấ ả năng l y d u vân tay h ạ system fingerprinting – t m đ ủ ế ố ệ đi u hành c a k t n i và  ộ ụ đ ng h thụ đ ng), tính năng này s  phát hi n m t cách th ộ ế ố ề ệ đi u hành c a nút đang k t n i. Nó  cho phép t ế đ  bridge ho c  ạ ộ ặ cũng h  trỗ ợ chính sách đ nh tuy n và có th  ho t đ ng trong các ch ầ ở ữ ạ transparent, cho phép b n ch  c n đ t pfSense   gi a các thi t b  m ng mà không c n  ấ ổ đòi h i vi c c u hình b  sung. pfSense cung c p network address translation (NAT) và  ế ổ tính năng chuy n ti p c ng, tuy nhiên  ng d ng này v n còn m t s  h n ch  v i  Point­to­Point Tunneling Protocol (PPTP), Generic Routing Encapsulation (GRE) và  Session Initiation Protocol (SIP) khi s  d ng NAT. c d a trên FreeBSD và giao th c Common Address Redundancy Protocol  PfSense đ ị ằ ả năng d  phòng b ng cách cho phép các qu n tr   ự ấ (CARP) c a FreeBSD, cung c p kh ặ ự đ ng chuy n đ i d  phòng. Vì  ộ ử ề ườ viên nhóm hai ho c nhi u t ng l a vào m t nhóm t ằ ệ ộ ạ ế ố ề nó h  tr  nhi u k t n i m ng di n r ng (WAN) nên có th  th c hi n vi c cân b ng  ư ượ ở ỗ ỉ ả ng  i. Tuy nhiên có m t h n ch  v i nó  t ạ phân ph i gi a hai k t n i WAN và b n không th  ch ng cho qua  ộ ế ố m t k t n i.

[Type the document title]

Bài Báo Cáo

ỗ ợ

ị ạ ế ố ử ụ ế ớ

ế ế ở đây th  hi n ch  thi u đi s  h  tr

ầ ư ể ệ ở ỗ ế ề

ế ế ẫ ượ xa. Ph n m m cũng thi u các tính năng IPSec nâng cao nh  NAT ầ c bi ớ t đ n v i tên

Tính năng pfsense

ờ ớ ế ệ ế ộ ượ ạ ử ụ t ki m m t l ng l n th i gian n u b n s  d ng chúng

ổ ộ ắ ạ ặ ể ượ ạ ử ụ

ạ ẽ

ạ ấ ề ề ụ ạ ầ ạ

ơ ệ ử ổ ộ ơ ặ ổ ở

ấ ế ổ ể

ộ ố ạ ế ớ ứ ụ ẫ

ế ầ ử ụ ế ậ ạ ổ

ể ấ ụ ặ ấ ụ ể ị

ủ

ế ể ặ ị ể ế ầ ổ

→ ủ ủ

ệ ố ả ạ ạ

ạ

ơ ư ặ ị ả ể ể ươ ấ

ụ ạ ấ ậ

ấ ạ

ế ờ

ể ượ ắ ữ ỉ ụ ể ể ấ ị ể ầ ặ

ấ   ạ ộ c s p x p đ  nó có ch  ho t đ ng vào các th i đi m nh t ặ ấ ấ ộ ớ ặ PfSense h  tr  VPN trong s  d ng Internet Protocol Security (IPSec), OpenVPN ho c  ộ ố ạ ế PPTP. Do có m t s  h n ch  v i NAT nên IPSec VPN cũng b  h n ch  khi k t n i  ự ỗ ợ cho các máy khách  ạ thông qua NAT, h n ch   ặ ừ ộ VPN di đ ng ho c t Traversal trong Internet key exchange (IKE), thành ph n v n đ NAT­T và Xauth. B. B.1. PfSense Aliases ạ ể Aliases có th  giúp b n ti ộ m t cách chính xác ộ M t Aliases ng n cho phép b n s  d ng cho m t host ,c ng ho c m ng có th  đ c  ử ụ ạ ư   ử ụ s  d ng khi t o các rules trong pfSense .S  d ng Aliases s  giúp b n cho phép b n l u ữ tr  nhi u m c trong m t n i duy nh t có nghĩa là b n không c n t o ra nhi u rules  cho nhóm các máy ho c c ng ẽ Vi c s a đ i rules tr  nên d  dàng h n. B.2. NAT PfSense cung c p network address translation (NAT) và tính năng chuy n ti p c ng, tuy nhiên  ng d ng này v n còn m t s  h n ch  v i Point­to­Point Tunneling Protocol  (PPTP), Generic Routing Encapsulation (GRE) và Session Initiation Protocol (SIP) khi  ử ụ s  d ng NAT. t l p NAT n u c n s  d ng c ng  Trong Firewall b n cũng có th  c u hình các thi ế t  chuy n ti p cho các d ch v  ho c c u hình NAT tĩnh (1:1) cho các host c  th . Thi ạ ế ố ậ l p m c đ nh c a NAT cho các k t n i outbound là automatic/dynamic, tuy nhiên b n  ể có th  thay đ i ki u manual n u c n. B.3. Firewall Rules ể ậ  Rules. N i l u các rules (Lu t) c a Firewall. Đ  vào Rules c a pfsense vào Firewall  ể ọ M c đ nh pfsense cho phép m i trafic ra/vào h  th ng .B n ph i t o ra các rules đ   qu n lí m ng bên trong firewall ấ ớ ng d u Đ  add rules m i nh n vào bi u t ử ụ Ví d : T o rules C m truy c p web s  d ng công 80 cho các máy LAN trong đó  MayLan là tên Aliases .Sau khi t o xong nh n Save và Apply Changes. B.4. Firewall Schedules Các Firewall rules có th  đ ị đ nh trong ngày ho c vào nh ng ngày nh t đ nh c  th  ho c các ngày trong tu n. ể ạ Đ  t o m t Schedules m i vào Firewall > Schedules : Nh n d u +

ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 3

ờ ế ủ ừ ứ ẩ ừ ứ 8

ờ ờ ế

ấ

ị ế ừ ế ậ t l p t v a thi

ạ ả ễ

ố ế ố ạ ươ

ữ ệ

ế ề ề ả ử ụ i thi u th i gian tr  .Khi s  d ng nh ng gói d  li u ACK đ i lên, đi u này cho phép ti n trình t

ọ ệ ủ

ủ ườ

ố ộ ố ộ ề   ng truy n ề ng truy n

ộ ố ư ư ự ơ

ộ ố ứ ư ủ

ể ử ụ ấ ỳ ị ủ ả ỉ

ố ố ỗ

ế ư ể ể c s  d ng đ  cho phép pfSense đúng cách chuy n ti p l u

ượ ử ụ ệ ế ổ ư ữ ể

ụ ể ị

ế ớ ị ỉ

ụ ặ ượ ứ ườ ể ạ ử ị ng l a chính nó đ  ch y các d ch v  ho c đ ở c s  d ng b i các b c t c

ạ

ể ượ ử ụ ủ c s  d ng cho clustering (t

ế ộ ờ ườ ng l a ch  failover ch  đ  ch ) ệ ử ng l a và t ủ ượ ộ ụ ạ ị Ví d :T o l ch tên GioLamViec c a tháng 12 T  th  hai đ n th  b y và th i gian t gi  đ n 17 gi ạ Sau khi t o xong nh n Add Time ướ ẽ ệ i s  hi n ra l ch chi ti Bên d ấ Xong nh n Save. B.5. Traffic shaper ả ơ ệ Traffic Sharper giúp b n theo dõi và qu n lí băng thông m ng d  dàng và hi u qu  h n ố ộ ố ư i đa t c đ  trong  Traffic Shaping là ph ng pháp t i  u hóa k t n i Internet. Nó tăng t ượ ắ ể ả ả ố ờ ữ ễ khi đ m b o t c s p  ả ề ườ ứ ư ư ế i v   x p th  t   u tiên trong đ ng truy n t ượ ế ụ ớ ố ộ ố i đa. đ c ti p t c v i t c đ  t ấ ả ể C u hình Traffic Sharper đ  qu n lý băng thông ở M  giao di n Web c a Pfsense ­> ch n Firewall ­> Traffic Sharper ọ Ch n Next ậ ọ Ch n Inside là Lan ­> nh p vào t c đ  download c a đ ủ ườ ậ ọ Outside ch n Wan và nh p vào t c đ  Upload c a đ ọ Ch n Next ỗ ợ H  tr  Voice IP > Next ọ Ch n Next ỗ ợ ạ H  tr  m ng ngang hàng nh  BitTorent , CuteMX, iMesh…. ế ỗ ợ ạ H  tr  m ng ch i game nh  BattleNET , Xbox360 ,và m t s  game tr c tuy n ụ ả Qu n lí băng thông c a m t s   ng d ng khác nh  Remote Service ,VPN, Messengers,  Web,Mail , Miscellaneous. B.6. Virtual Ips ộ ộ ị   M t Virtual IPs có th  s  d ng b t k  đ a ch  IP c a pfSense, đó không ph i là m t đ a ỉ ch  IP chính. Trong các tình hu ng khác nhau, m i trong s  đó có các tính năng riêng  ủ c a nó. Virtual IP đ ọ ượ l ng cho nh ng vi c nh  chuy n ti p c ng NAT, NAT Outbound, và NAT 1:1. H   ể ư cũng cho phép các tính năng nh  failover, và có th  cho phép các d ch v  trên router đ   ắ g n k t v i đ a ch  IP khác nhau. CARP  ể ượ ử ụ Có th  đ ế ể chuy n ti p ớ T o ra l p 2 traffic cho các VIP Có th  đ Các VIP đã đ ườ ử ự c trong cùng m t subnet IP c a giao di n th c

[Type the document title]

Bài Báo Cáo

ắ ườ ế ượ c phép theo các quy t c t ử ng l a. i ICMP ping n u đ

ứ ườ ể ượ ử ư ể ể ượ ử ụ ở c s  d ng b i các b c t ng l a chính nó, nh ng có th  đ c chuy n

ộ ủ ệ ớ ự c trong m t subnet khác v i IP c a giao di n th c

ả ờ

ẽ ả ờ S  tr  l Proxy ARP Không th  đ ti pế ớ ạ T o ra l p 2 giao thông cho các VIP ể ượ Các VIP có th  đ Không tr  l i gói tin ICMP ping. Khác

ấ ạ ủ ạ ế ườ ế c s  d ng n u các tuy n đ ng cung c p cho b n VIP c a b n dù sao mà

ể ử ư ể ượ ứ ườ ớ ể ượ ử ụ c chuy n ở c s  d ng b i các b c t ng l a chính nó, nh ng có th  đ

ớ ộ ệ c trong m t subnet khác v i các giao di n IP

ể ượ i ICMP Ping.

ụ ả ờ ộ ố ị

ươ ộ ạ

ỉ ườ ạ ng m i  ẵ ị

ả ơ

ậ ự ế ế ớ ẽ

ệ ủ ườ ượ c ng ở ỗ ườ  ch  ng ả ậ ả

ỉ

ụ ủ ượ ấ c c u hình trong m c này s  đ ẽ ượ ỏ c b

ượ ấ ẽ c c u hình s  không authentication.

ể ạ

ủ

ố ử ụ

ỗ i h n các connection trên m i ip/user/mac

ế ớ ạ ậ ẽ ạ ỗ ờ ị

ế ố ủ ớ ạ ờ ỗ ể ượ ử ụ Có th  đ ầ không c n thông báo l p 2 Không th  đ ti pế Các VIP có th  đ Không tr  l C. M t s  d ch v  pfsense C.1. Captive portal Captive portal là 1 tính năng thu c d ng flexible, ch  có trên các firewall th ớ i dùng vào 1 trang web đ nh s n,  l n. Tính năng này giúp redirect trình duy t c a ng ể ừ i dùng . Tính năng này tiên ti n h n các  t  đó giúp chúng ta có th  qu n lý đ ư ể i dùng s  thao tác tr c ti p v i 1 trang  ki u đăng nh p nh  WPA, WPA2  ư ể ứ web (http, https) ch  không ph i là b ng đăng nh p khô khan nh  ki u authentication  WPA,WPA2. ằ ở ụ Tính năng captive portal n m   m c Services/captive portal ứ Captive portal: Tinh ch nh các ch c năng c a Captive Portal. Pass­though MAC: Các MAC address đ qua,không authentication. Allowed IP address: Các IP address đ ể Users: T o local user đ  dùng ki u authentication: local user ả File Manager: Upload trang qu n lý c a Captive portal lên pfsense. ọ ấ Enable captive portal: Đánh d u ch n n u mu n s  d ng captive portal. Maximum concurrent connections:Gi ế Idle timeout:N u m i ip không còn truy c p m ng trong 1 th i gian xác đ nh thì s ắ ế ố ủ ng t k t n i c a ip/user/mac. Hard timeout: Gi i h n th i gian k t n i c a m i ip/users/mac.

ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 5

ấ

ỉ ớ

ằ ế ậ ả ẽ ượ ướ i sau khi đăng nh p ở c direct t ế   c router. B i vì pfsense qu n lý k t

ổ ẽ ị ấ ặ ị

ọ

ớ ườ ấ ị ẽ ề ướ ng ng ỗ ợ i dùng t i 1 trang nh t đ nh

ứ

ể ứ

ỉ ị ỉ ứ ỗ ợ ạ ự ằ

ồ ể ư ồ ấ

ạ ủ

ự ộ ạ ằ ị ỉ đ ng gán các đ a ch  IP

ấ ọ ị ấ ứ ể ạ ặ ỉ

ả ủ ữ ể ặ i c a pfsense có nh ng đ c đi m

ụ ộ ằ ổ ị tính năng b ng gói d ch v  c ng thêm.

ế

ẵ

ế ả ư ả t b  cân b ng t i khác.

ọ ế ị ế ị ươ t b  th ằ ạ ng m i.

ấ  nhà s n xu t nh  các thi ư ế ườ ử ụ ể ấ ỏ ứ ơ ả i s  d ng ph i có ki n th c c  b n v  m ng đ  c u hình.

ể ấ ể n vào nút đ  thêm Pool ư ấ

ệ Logout popup windows: Xu t hi n 1 popup thông báo cho ip/user/mac ườ ị Redirect URL: Đ a ch  URL mà ng i dùng s  đ MAC filtering: Đánh d u vào n u pfsense n m tr ố ữ ệ n i theo MAC (m c đ nh). Mà khi d  li u qua Router s  b  thay đ i mac address nên  ẽ ấ ế ố ộ ườ ế n u timeout thì toàn b  ng i dùng s  m t k t n i. ể ự ứ ể Authentication: Ch n ki u ch ng th c. Pfsense h  tr  3 ki u: No authentication: pfsense s  đi u h ự mà không ch ng th c. ự Local user manager: pfsense h  tr  t o user đ  ch ng th c. ủ ầ Radius authentication: Ch ng th c b ng radius server (C n ch  ra đ a ch  ip c a radius, port, ...). ọ ồ R i ch n browse trong portal page content r i up file này lên. R i b m SAVE đ  l u  i.ạ   l ố Cu i cùng ta t o user trong tab user c a captive portal.   C.2. DHCP Server ỉ DHCP Server ch nh c u hình cho m ng TCP/IP b ng cách t ạ cho khách hàng khi h  vào m ng. ễ M c dù có th  gán đ a ch  IP vĩnh vi n cho b t c  máy tính nào trên m ng. C.3. Load Balancer ứ Ch c năng cân băng t Ư ể u đi m ễ ­ Mi n phí. ­ Có khả năng b  sung thêm ấ ặ ễ ­ D  cài đ t, c u hình. H n chạ ị ả ­ Ph i trang b  thêm modem n u không có s n. ượ ỗ ợ ừ ­ Không đ c h  tr  t ư ẫ ­ V n ch a có tính năng l c URL nh  các thi ề ạ ả ­ Đòi h i ng Đ  c u hình load balancing vào Services ­> Load Balancer Ấ C u hình nh  sau: Name: LoadBalancer Type: Gateway Behavior : Load Balancing

[Type the document title]

Bài Báo Cáo

ọ ọ ủ

ấ ấ ạ ầ i và  n Apply Change

ấ ể

ọ

ọ ọ

ề

ể ể ườ ộ ườ ng truy n Offline.

ộ ườ

ị ộ ạ ể ộ ạ xa v i m t m ng LAN

ệ ố ừ i s  d ng t ứ ạ

ế ả ượ ủ ể ể ế   ng là Internet) đ  k t ở ụ ở  tr  s  trung tâm.  ạ ố ng dây thuê bao s , VPN t o ra các  ộ ổ ứ ớ ị  ch c v i đ a đi m ặ ế ố ữ c truy n qua Internet gi a m ng riêng c a m t t

xa.

ứ

ể ử ụ ọ ạ ể ậ

ẽ ế ố ị

ẽ ấ

ứ

ự ể ể ạ ả ọ

ạ

ạ

ạ ọ

ị ỉ

ọ ọ ề ề ề ấ ả ậ ẩ

Monitor IP: Ch n monitor IP c a gateway interface nào thì ph n ch n Interface name  ươ ứ t ng  ng ,  n vào add to pool . Save l Ấ Sang tab LAN,  n vào d u + đ  thêm rule Action ch n Pass Protocol ch n any Gateway: ch n LoadBalancer Save và Apply Rule Đ  ki m tra vào Status / Load Balancer ề ng truy n đ u Online Hai đ ề Khi m t đ C.4. VPN trên Pfsense ạ ử ụ VPN là m t m ng riêng s  d ng h  th ng m ng công c ng (th ớ ườ ử ụ ố n i các đ a đi m ho c ng ư ườ ậ Thay vì dùng k t n i th t khá ph c t p nh  đ ạ ề liên k t  o đ ườ ử ụ ở ặ ho c ng i s  d ng    C.5. VPN PPTP Đ  s  d ng ch c năng này b n vào VPN / PPTP Ch n Enable PPTP server đ  b t tính năng VPN ỉ Server address : Đ a ch  server mà client s  k t n i vào ế ố ỉ ả ị Remote address range :D i đ a ch  IP s  c p khi VPN Client k t n i RADIUS : Ch ng th c qua RADIUS Ch n Save và chuy n qua tab User đ  t o tài kho n ạ Sau khi t o xong user ,b n vào Firewall Rules ậ T o Rules cho phép VPN client truy c p vào m ng Trên VPN Client ,trong Network Connections ch n Create a new connection Ch n Conect to the network at my workplace > Next Ch n Virtual Provate Network connection > Next ế ố Đi n tên cho k t n i VPN > Next ủ Đi n đ a ch  IP c a VPN Server > Next Đi n tài kho n và m t kh u và nh n Connect.

ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 7

ạ

ạ ấ ạ ệ

ế ố

ộ ở ượ ấ c c p phát b i DHCP Server

ổ ổ

ị ỉ ẽ ấ

ặ ị ẽ ế ố ế

ọ ng th c mã hóa

ậ

ể ữ ệ ử ụ

ọ

ạ

ử ụ

ế ậ t l p VPN trên pfSense1

ổ ị

ủ

ươ ự ủ ề ấ ọ ng th c mã hóa và đi n Shared key c a pfsense1 vào và nh n Save.

ộ

N i Dung Th c Hành ặ Lab1:Cài đ t máy PfSense

ướ ẩ

C.6. OpenVPN Site to Site T o Share key cho pfsense Vào Diagnostics > Command: T i Execute Shell command ch y l nh : openvpn ­­genkey ­­secret /dev/stdout và nh n  Execute ể ạ Đ  t o k t n i Site to site vào VPN / OpenVPN ấ ạ T i Tab Server nh n ứ ử ụ Protocol : Giao th c s  d ng cho VPN ế ố ằ Dynamic IP: Cho phép Client k t n i b ng IP đ ng đ ẽ ắ Local Port: C ng OpenVPN server s  l ng nghe.M c đ nh là c ng 1194 Address pool: Đ a ch  pfsense s  c p phát cho Client. ạ Remote network: Khai báo m ng mà pfsense s  k t n i đ n ươ ự ứ Cryptography: L a ch n ph Authentication method: Shared Key ủ Shared key: Nh p Shared Key c a pfsense LZO compression : Nén gói tin khi chuy n d  li u s  d ng LZO Ch n Save ế ố T o rules cho phép k t n i OpenVPN trên WAN Trên pfsense2 ấ ọ Vào VPN/OpenVPN ch n Tab Client nh n ứ Protocol : Giao th c mà server s  d ng cho VPN ỉ ủ ị Server Address : Đ a ch  c a Server OpenVPN ế ố Server port : C ng k t n i cho các thi ẽ ỉ Interface IP : Đ a ch  IP mà server s  gán cho Client ả Remote network:D i IP Internal c a pfsense1 ứ L a ch n ph ự II. A. ị A.1. Chu n Bẩ + 1 máy cài PfSense 2 card m ngạ + 1 máy client            +  ISO cài PfSense : pfsense_proxy_2.1 ặ A.2. H ng d n cài đ t Cho file iso Pfsense 2.1 vào

[Type the document title]

Bài Báo Cáo

ọ ọ ch n card eM0 làm WAN ch n card eM1 làm LAN

ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 9

ể ọ Ch n 99 đ  install

[Type the document title]

Bài Báo Cáo

ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 11

[Type the document title]

Bài Báo Cáo

ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 13

[Type the document title]

Bài Báo Cáo

ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 15

[Type the document title]

Bài Báo Cáo

ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 17

ằ Login vào Pfsense b ng user: admin /pass:pfsense

ặ ầ ế Cài đ t các gói c n thi t

[Type the document title]

Bài Báo Cáo

ấ Lab2:C u hình proxy cho pfsense

ư

ậ ườ ấ ậ ỉ ạ ạ ớ ng m ng, l p m ng truy c p internet.

ị ặ ừ B. ấ C m máy client truy c p vào nh ng trang web bi c m. C mấ   đ a ch  m ng, ặ Ch n t ạ   đ  khóa , ch n download .

ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 19

[Type the document title]

Bài Báo Cáo

ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 21

ặ

ề ấ ữ ậ

http://ithutech.net

ủ ả Ở  đây ch n trang web tuoitre.vn, mp3.zing.vn. ẻ ả ừ T  khóa mail, game,file dowload exe... và khi ta đăng nh p vào nh ng đi u c m s  tr   ề v  trang qu n lý c a mình.

ỉ ạ ặ ị ườ ạ ạ ớ Ch n đ a ch  m ng, đ ng m  ng, l p m ng

[Type the document title]

Bài Báo Cáo

ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 23

[Type the document title]

Bài Báo Cáo

ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 25

ạ ị ở ộ Kh i đ ng l ụ i d ch v .

[Type the document title]

Bài Báo Cáo

ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 27

[Type the document title]

Bài Báo Cáo

ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 29

ậ Đây là khi ta đăng nh p vào trang web tuoitre.vn

ả ề ủ ả Tr  v  trang qu n lý c a mình http://ithutech.net

Lab3:Captive Portal (Local)

ệ ớ i thi u

ộ ạ ươ

ạ ng m i  ẵ ị ỉ ườ

ả ơ

ự ế ế ớ ẽ ậ

ệ ủ ườ ượ c ng ở ỗ ườ  ch  ng ả ậ ả

ằ ở ụ ứ ủ ỉ C. C.1. Gi Captive portal là 1 tính năng thu c d ng flexible, ch  có trên các firewall th ớ l n. Tính năng này giúp redirect trình duy t c a ng i dùng vào 1 trang web đ nh s n,  ể ừ  đó giúp chúng ta có th  qu n lý đ t i dùng . Tính năng này tiên ti n h n các  ư ể i dùng s  thao tác tr c ti p v i 1 trang  ki u đăng nh p nh  WPA, WPA2  ư ể ứ web (http, https) ch  không ph i là b ng đăng nh p khô khan nh  ki u authentication  WPA,WPA2. Tính năng captive portal n m   m c Services/captive portal Captive portal: Tinh ch nh các ch c năng c a Captive Portal.

[Type the document title]

Bài Báo Cáo

ụ ượ ấ ẽ ượ ỏ c b c c u hình trong m c này s  đ

ẽ ượ ấ c c u hình s  không authentication.

ạ ể

ủ

ố ử ụ

ỗ i h n các connection trên m i ip/user/mac

ị ờ ỗ ạ ẽ ế ớ ạ ậ

ế ắ ế ố ủ

ỗ ờ ớ ạ ế ố ủ i h n th i gian k t n i c a m i ip/users/mac.

ấ

ớ ỉ

i sau khi đăng nh p ở

ẽ ượ ướ ậ ả ế ằ c direct t ế   c router. B i vì pfsense qu n lý k t

ấ ặ ị ẽ ị ổ

ỗ ợ ọ

ẽ ề ướ ấ ị ườ ớ i 1 trang nh t đ nh i dùng t ng ng

ứ

ỗ ợ ạ ể ứ

ạ

Pass­though MAC: Các MAC address đ qua,không authentication. Allowed IP address: Các IP address đ ể Users: T o local user đ  dùng ki u authentication: local user ả File Manager: Upload trang qu n lý c a Captive portal lên pfsense. ọ ấ Enable captive portal: Đánh d u ch n n u mu n s  d ng captive portal. Maximum concurrent connections:Gi Idle timeout:N u m i ip không còn truy c p m ng trong 1 th i gian xác đ nh thì s ng t k t n i c a ip/user/mac. Hard timeout: Gi ệ Logout popup windows: Xu t hi n 1 popup thông báo cho ip/user/mac ườ ị Redirect URL: Đ a ch  URL mà ng i dùng s  đ MAC filtering: Đánh d u vào n u pfsense n m tr ố ữ ệ n i theo MAC (m c đ nh). Mà khi d  li u qua Router s  b  thay đ i mac address nên  ẽ ấ ế ố ộ ườ ế i dùng s  m t k t n i. n u timeout thì toàn b  ng ể ự ứ ể Authentication: Ch n ki u ch ng th c. Pfsense h  tr  3 ki u: No authentication: pfsense s  đi u h ự mà không ch ng th c. ự Local user manager: pfsense h  tr  t o user đ  ch ng th c.   ự C.2. Th c hành T o user trong pfsense. User1/pass:123456 User2/pass:123456

ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 31

Vào Captive portal >new zones

ỏ Check vào local User manager , b  check tai allow only user.

[Type the document title]

Bài Báo Cáo

ậ ặ ậ Đăng nh p vào google.com , khi đăng nh p sai user ho c password

ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 33

ớ vào trang http://google.com v i user2/pass:123456

[Type the document title]

Bài Báo Cáo

ậ Đăng nh p thành công

ữ ậ ằ Đây là nh ng máy dùng đã truy c p web b ng user1 và user2

ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 35

Lab4:Captive portal thông qua radius

DC

ạ ạ

D. ạ T o user và group cho máy T oạ  radius client T o group captive T o 2 user : nhantruong1 và nhantruong2 Add 2 user vào group captive

[Type the document title]

Bài Báo Cáo

ư Vào network authentication service> radius client >new radius client Add ip:192.168.11.66(ip LAN cua may pfsense) L u shared secret

ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 37

Vào policies> new policies

[Type the document title]

Bài Báo Cáo

Add group captive vào policies.

Vào máy pfsense > captive portal>new zones

ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 39

ủ ầ

ặ ạ Vào authentication >check vào RADIUS authentication, check vào PAP Copy shared secret c a máy DC vào ph n shared secret Vào l ậ i google.com. khi đăng nh p sai user ho c password

ạ ớ Vào l i google.com v i user nhantruong1 và pass:P@ssword

[Type the document title]

Bài Báo Cáo

ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 41